一.该病毒的特点:
名字叫维金(Worm.Viking ) )。
处理时间: 2006-06-01威胁级别:
病毒类型:蠕虫影响系统: Win 9x/ME、Win 2000/NT、Win XP、Win 2003
病毒行为:
该病毒是一种复合型病毒,它集成了Windows平台上的可执行文件感染、网络感染、下载网络***或其他病毒,病毒运行后,将自身伪装成系统中的已知良好文件来伪装用户病毒还通过线程注入技术绕过防火墙监控,连接到病毒创建者指定的站点下载特定的****或其他病毒,并在病毒运行后列出内部网的所有共享
运行过程中会感染用户计算机上的可执行文件,导致用户计算机运行速度变慢,破坏用户计算机的可执行文件,危害用户安全。
病毒主要通过共享目录、捆绑文件、运行受感染病毒的程序、可以附加病毒的邮件附件等方式传播。
1、病毒运行后,将自身复制到Windows文件夹下。 文件名为:
%SystemRoot%rundl132.exe
2、运行受感染文件后,病毒将整个病毒复制到以下文件:中
%SystemRoot%logo_1.exe
3、同时病毒在病毒文件夹下生成:
病毒目录vdll.dll
4、病毒从z驱动器向前搜索所有可用分区中的exe文件,然后感染所有大小的27kb-10mb可执行文件,并在受感染的文件夹中生成:
_desktop.ini (文件属性:系统,隐藏。 )
5、病毒尝试修改% sysroot %system32driversetchosts文件。
6、病毒通过添加以下注册表项,开启病毒并自动执行:
[ HKEY _ local _ machinesoftwareMicrosoftwindowscurrent versionrun ]
' load '=' c :win nt\ rundl 132.exe '
[ HKEY _ current _ usersoftwareMicrosoftwindows ntcurrent versionwindows ]
' load '=' c :win nt\ rundl 132.exe '
7、运行病毒时尝试查找表单名称为:'RavMonClass '的程序,找到表单后发送信息关闭程序。
8、列举以下杀毒软件进程名称,找到后终止该进程:
Ravmon.exe
Eghost.exe
Mailmon.exe
KAVPFW.EXE
IPARMOR.EXE
Ravmond.exe
9、同时病毒尝试利用以下命令中止相关杀毒软件:
net stop ' kingsoftantivirusservice '
10、发送ICMP探测数据“Hello,World”,判断网络状态,如果网络可用,
列出内部网中的所有共享主机,然后尝试使用弱密码连接到共享目录,如\IPC$、admin$等,并在连接成功后感染网络。
11、感染用户机器的exe文件,但不感染以下文件夹的文件:
系统
system32
windows
文档和设置
系统卷信息
已接收
维尼特
程序文件
Windows NT
windows更新
windows媒体播放器
Outlook Express
internet资源管理器
计算机应用程序
NetMeeting
公共文件
消息传递器
微软办公
安装shieldinstallationinformation
MSN
微软前端页面
移动标记器
MSN Gaming Zone
12、列举系统进程,尝试选择性地将病毒dll(vdll.dll )注入到与以下进程名对应的进程:中
资源管理器
Iexplore
找到符合条件的流程后,随机注入上述两个流程之一。
13、如果外部网可用,被注入的dll文件连接到以下的网站上试图下载并执行相关程序:
[ URL ] http://www.17 [/URL ] *.com/gua/ZT.txt
保存为:c:1.txt[url]http://www.17[/url]**.com/gua/wow.txt 保存为:c:1.txt
[url]http://www.17[/url]**.com/gua/mx.txt 保存为:c:1.txt
[url]http://www.17[/url]**.com/gua/zt.exe 保存为:%SystemRoot%Sy.exe
[url]http://www.17[/url]**.com/gua/wow.exe 保存为:%SystemRoot%1Sy.exe
[url]http://www.17[/url]**.com/gua/mx.exe 保存为:%SystemRoot%2Sy.exe
注:三个程序都为***程序
14、病毒会将下载后的"1.txt"的内容添加到以下相关注册表项:
[HKEY_LOCAL_MACHINESOFTWARESoftDownloadWWW]
"auto"="1"
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows]
"ver_down0"="[boot loader]\\\\\\\\+++++++++++++++++++++++"
"ver_down1"="[boot loader]
timeout=30
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" "
"ver_down2"="default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /"
二、专杀工具
[url]http://it.rising.com.cn/service/technology/RavVikiing.htm[/url]
三、删除_desktop.ini
该病毒会在每个文件夹中生成一个名为_desktop.ini的文件,一个个去删除,显然太费劲,(我的机器的操作系统因安装在NTFS格式下,所以系统盘下的文件夹中没有这个文件,另外盘下的文件夹无一幸免),因此在这里介绍给大家一个批处理命令 del d:_desktop.ini /f/s/q/a,该命令的作用是:
强制删除d盘下所有目录内(包括d盘本身)的_desktop.ini文件并且不提示是否删除
/f 强制删除只读文件
/q 指定静音状态。不提示您确认删除。
/s 从当前目录及其所有子目录中删除指定文件。显示正在被删除的文件名。
/a的意思是按照属性来删除了
这个命令的作用是在杀掉viking病毒之后清理系统内残留的_desktop.ini文件用的
使用方法是开始--所有程序--附件--命令提示符,键入上述命令(也可复制粘贴),首先删除D盘中的_desktop.ini,然后依此删除另外盘中的_desktop.ini。
至此,该病毒对机器造成的影响全部消除。
觉得有用的朋友们拿去试试吧 ------------------------------------------------------
长沙市傲翔网络服务有限公司(台湾侠诺湖南销售中心)
联 系 人:dwt
电 话:0731-4159882 15802599881
商 务 QQ:524025096
技术支持群: 55955025
网 站: [url]http://www.damtech.com.cn[/url]
长沙傲翔网络服务有限公司(侠诺湖南总代理)侠诺多WAN路由流量控制,防止ARP,实现策略路由湖南分销
◆ 台湾侠诺(Qno)湖南总代理
◆ 协助网吧企业彻底防止ARP***
◆ 专业多WAN网吧企业服务商
◆ 专业×××方案提供商
◆ 全国首家语音路由器
◆ 最用心的华人网络
◆ 侠诺:侠之大者,一言一诺
以下是我自己处理的方法:
(1)先下载好瑞星威金病毒专杀工具;
[url]http://it.rising.com.cn/service/technology/RavVikiing.htm[/url]
(2)断开网络;
(3)处理C盘:能系统还原的就系统还原,这样节省时间,不行的就重装系统;
(4)再在安全模式下用刚才下的专杀工具清除掉C盘以外的其它盘的病毒;
(5)用全盘搜索功能(记得在高级选项里把搜索隐藏文件的选项勾上),搜索名为“_desktop.ini”的文件,搜索好后,凡是符合要求的全部删除;
(6)清除完后重启机器即可。
转载于:https://blog.51cto.com/qq160451700/7397